New The Cyber security landscape, current trends and developments … · 2018. 6. 22. · Intro...

Post on 26-Sep-2020

1 views 0 download

Preview:

Click to see full reader
Report this document
SHARE

Transcript of New The Cyber security landscape, current trends and developments … · 2018. 6. 22. · Intro...

Building Automation Security

CLASSIFICATIE: OpenbaarKPN Managed Security Services

FHI 2018

1

The Cyber security landscape, current trends and

developments

Intro – Wie ben ik

Portfoliomanager Security @KPN

12Y ervaring in cybersecurity

Fox-IT

Nederlands Forensisch Instituut

TNO Defensie en Veiligheid

Passie voor technologie

MBA (deels Technische Informatica)

Intelligence, privacy

CLASSIFICATIETITEL VAN DE PRESENTATIE2

Vandaag: Building Automation Security

“Building automation systems en cybersecurity, moeten we ons zorgen

maken?”

Cybersecurity essentials

Wie zijn hackers?

Trends en ontwikkelingen in cybersecurity

Een BAS hack explained

Het cybersecurity landschap in Nederland

Samenvatting

CLASSIFICATIETITEL VAN DE PRESENTATIE3

Cybersecurity essentials

CLASSIFICATIETITEL VAN DE PRESENTATIE4

Wat zijn essentials?

“Cybersecurity is het vrij zijn van gevaar of schade veroorzaakt door

verstoring of uitval van ICT of door misbruik van ICT. Het gevaar of de

schade door misbruik, verstoring of uitval kan bestaan uit beperking van de

beschikbaarheid en betrouwbaarheid van de ICT, schending van de

vertrouwelijkheid van de ICT opgeslagen informatie of schade aan de

integriteit van die informatie”

Beschikbaarheid – betrouwbaarheid – vertrouwelijkheid - integriteit

CLASSIFICATIETITEL VAN DE PRESENTATIE5

CLASSIFICATIETITEL VAN DE PRESENTATIE6

CLASSIFICATIETITEL VAN DE PRESENTATIE7

Waarom cybersecurity?

Don’t argue with idiots….

https://www.google.nl/url?sa=i&rct=j&q=&esrc=s&source=images&cd=&cad=rja&uact=8&ved=0ahUKEwjc9LCIj4PPAhXHORQKHW0LBDUQjRwIBw&url=https://www.youtube.com/watch?v%3DEQc6Z8k9vbI&bvm=bv.131783435,d.ZGg&psig=AFQjCNFxhGhdUmth1vu5i6_-jqokqOo9Yw&ust=1473539081576106
https://www.google.nl/url?sa=i&rct=j&q=&esrc=s&source=images&cd=&cad=rja&uact=8&ved=0ahUKEwjc9LCIj4PPAhXHORQKHW0LBDUQjRwIBw&url=https://www.youtube.com/watch?v%3DEQc6Z8k9vbI&bvm=bv.131783435,d.ZGg&psig=AFQjCNFxhGhdUmth1vu5i6_-jqokqOo9Yw&ust=1473539081576106

Cybersecurity en building automation systems (I)

2.7 miljard apparaten zijn gekoppeld in smart buildings ter verbetering van

operationale efficiency, veiligheid, comfort en functionaliteit.

2015 : 84% BAS-exploitanten maakt gebruik van op internet aangesloten

systemen. > 70% verleent remote access aan vendoren.

2015 : 29% BAS-exploitanten neemt cybersecurity maatregelen.

2018 : Gartner voorspelt dat 20% van alle smart buildings zal last hebben

gehad van digitaal vandalisme.

CLASSIFICATIETITEL VAN DE PRESENTATIE8

CLASSIFICATIETITEL VAN DE PRESENTATIE9

Waarom cybersecurity?

Een wereld te winnen….

https://www.google.nl/url?sa=i&rct=j&q=&esrc=s&source=images&cd=&cad=rja&uact=8&ved=0ahUKEwjc9LCIj4PPAhXHORQKHW0LBDUQjRwIBw&url=https://www.youtube.com/watch?v%3DEQc6Z8k9vbI&bvm=bv.131783435,d.ZGg&psig=AFQjCNFxhGhdUmth1vu5i6_-jqokqOo9Yw&ust=1473539081576106
https://www.google.nl/url?sa=i&rct=j&q=&esrc=s&source=images&cd=&cad=rja&uact=8&ved=0ahUKEwjc9LCIj4PPAhXHORQKHW0LBDUQjRwIBw&url=https://www.youtube.com/watch?v%3DEQc6Z8k9vbI&bvm=bv.131783435,d.ZGg&psig=AFQjCNFxhGhdUmth1vu5i6_-jqokqOo9Yw&ust=1473539081576106

Wie zijn hackers

CLASSIFICATIETITEL VAN DE PRESENTATIE10

CLASSIFICATIETITEL VAN DE PRESENTATIE11

http://www.google.nl/url?sa=i&rct=j&q=&esrc=s&source=images&cd=&cad=rja&uact=8&ved=0ahUKEwi9r5-ryYLNAhVBXhQKHQY4C1cQjRwIBw&url=http://www.sannevanderbeek.nl/tag/hackers/&bvm=bv.123325700,d.ZGg&psig=AFQjCNEGW-7YkvTy04KAo3eXVd0GoaQvPA&ust=1464724272879255
http://www.google.nl/url?sa=i&rct=j&q=&esrc=s&source=images&cd=&cad=rja&uact=8&ved=0ahUKEwi9r5-ryYLNAhVBXhQKHQY4C1cQjRwIBw&url=http://www.sannevanderbeek.nl/tag/hackers/&bvm=bv.123325700,d.ZGg&psig=AFQjCNEGW-7YkvTy04KAo3eXVd0GoaQvPA&ust=1464724272879255

CLASSIFICATIETITEL VAN DE PRESENTATIE12

https://www.google.nl/url?sa=i&rct=j&q=&esrc=s&source=images&cd=&cad=rja&uact=8&ved=0ahUKEwjgy4ydyoLNAhVFVhQKHdjtAKkQjRwIBw&url=https://www.hackread.com/pro-isis-hackers-us-dept-of-energy/&bvm=bv.123325700,d.ZGg&psig=AFQjCNGRmjFvREKpg-qkHxD-jOWhU8hCmw&ust=1464724514384239
https://www.google.nl/url?sa=i&rct=j&q=&esrc=s&source=images&cd=&cad=rja&uact=8&ved=0ahUKEwjgy4ydyoLNAhVFVhQKHdjtAKkQjRwIBw&url=https://www.hackread.com/pro-isis-hackers-us-dept-of-energy/&bvm=bv.123325700,d.ZGg&psig=AFQjCNGRmjFvREKpg-qkHxD-jOWhU8hCmw&ust=1464724514384239

CLASSIFICATIETITEL VAN DE PRESENTATIE13

http://www.google.nl/url?sa=i&rct=j&q=&esrc=s&source=images&cd=&cad=rja&uact=8&ved=0ahUKEwj1zpKyyoLNAhXM7BQKHeMPB-kQjRwIBw&url=http://www.slashgear.com/tags/anonymous/&bvm=bv.123325700,d.ZGg&psig=AFQjCNH7L52NvbH4rb1G5auWrw0SCjAIyg&ust=1464724573327559
http://www.google.nl/url?sa=i&rct=j&q=&esrc=s&source=images&cd=&cad=rja&uact=8&ved=0ahUKEwj1zpKyyoLNAhXM7BQKHeMPB-kQjRwIBw&url=http://www.slashgear.com/tags/anonymous/&bvm=bv.123325700,d.ZGg&psig=AFQjCNH7L52NvbH4rb1G5auWrw0SCjAIyg&ust=1464724573327559

CLASSIFICATIETITEL VAN DE PRESENTATIE14

http://www.google.nl/url?sa=i&rct=j&q=&esrc=s&source=images&cd=&cad=rja&uact=8&ved=0ahUKEwjZpJTNzILNAhXIvRQKHQw0DnEQjRwIBw&url=http://thetechnews.com/2016/02/04/better-days-are-coming-for-the-white-hat-hackers/&bvm=bv.123325700,d.ZGg&psig=AFQjCNHHD0V0H4E-75COSaM1ayWNDACSTQ&ust=1464725150635612
http://www.google.nl/url?sa=i&rct=j&q=&esrc=s&source=images&cd=&cad=rja&uact=8&ved=0ahUKEwjZpJTNzILNAhXIvRQKHQw0DnEQjRwIBw&url=http://thetechnews.com/2016/02/04/better-days-are-coming-for-the-white-hat-hackers/&bvm=bv.123325700,d.ZGg&psig=AFQjCNHHD0V0H4E-75COSaM1ayWNDACSTQ&ust=1464725150635612
http://www.google.nl/url?sa=i&rct=j&q=&esrc=s&source=images&cd=&cad=rja&uact=8&ved=0ahUKEwjk9ZDazILNAhWKXRQKHdXQBe4QjRwIBw&url=http://thetechnews.com/2016/02/04/better-days-are-coming-for-the-white-hat-hackers/&bvm=bv.123325700,d.ZGg&psig=AFQjCNGmeF1fYq1ywwHfnby7Ks5PXsD3Kg&ust=1464725195352084
http://www.google.nl/url?sa=i&rct=j&q=&esrc=s&source=images&cd=&cad=rja&uact=8&ved=0ahUKEwjk9ZDazILNAhWKXRQKHdXQBe4QjRwIBw&url=http://thetechnews.com/2016/02/04/better-days-are-coming-for-the-white-hat-hackers/&bvm=bv.123325700,d.ZGg&psig=AFQjCNGmeF1fYq1ywwHfnby7Ks5PXsD3Kg&ust=1464725195352084

CLASSIFICATIETITEL VAN DE PRESENTATIE15

https://www.google.nl/url?sa=i&rct=j&q=&esrc=s&source=images&cd=&cad=rja&uact=8&ved=0ahUKEwjh7b7Wy4LNAhWBuBQKHTRlCxoQjRwIBw&url=https://www.mertsarica.com/anti-scanner/&bvm=bv.123325700,d.ZGg&psig=AFQjCNHqj6WbFPEdyocZzPtpnGMYejeZDg&ust=1464724917567222
https://www.google.nl/url?sa=i&rct=j&q=&esrc=s&source=images&cd=&cad=rja&uact=8&ved=0ahUKEwjh7b7Wy4LNAhWBuBQKHTRlCxoQjRwIBw&url=https://www.mertsarica.com/anti-scanner/&bvm=bv.123325700,d.ZGg&psig=AFQjCNHqj6WbFPEdyocZzPtpnGMYejeZDg&ust=1464724917567222

Wie zijn hackers?

Journalisten

Statelijke actoren

Hacktivisten / white-hat hackers

Scriptkiddies

Concurrenten

Criminelen

CLASSIFICATIETITEL VAN DE PRESENTATIE16

Maar dreigingen kunnen ook komen van…..

Ontevreden medewerkers

Fraudeleuze medewerkers

Ingehuurd personeel

Leveranciers

Business partners

Supertargets

Trends en ontwikkelingen

CLASSIFICATIETITEL VAN DE PRESENTATIE17

CLASSIFICATIETITEL VAN DE PRESENTATIE18

http://www.google.nl/url?sa=i&rct=j&q=&esrc=s&source=images&cd=&cad=rja&uact=8&ved=0ahUKEwi7wvyb1oLNAhWCShQKHX4GBtEQjRwIBw&url=http://www.geelkerkenlaw.nl/zoekresultaten-uit-google-verwijderen/&bvm=bv.123325700,d.ZGg&psig=AFQjCNE0QImohOvVanSDIbf7nsqsVW-x_w&ust=1464727738684263
http://www.google.nl/url?sa=i&rct=j&q=&esrc=s&source=images&cd=&cad=rja&uact=8&ved=0ahUKEwi7wvyb1oLNAhWCShQKHX4GBtEQjRwIBw&url=http://www.geelkerkenlaw.nl/zoekresultaten-uit-google-verwijderen/&bvm=bv.123325700,d.ZGg&psig=AFQjCNE0QImohOvVanSDIbf7nsqsVW-x_w&ust=1464727738684263

CLASSIFICATIETITEL VAN DE PRESENTATIE19

http://www.google.nl/url?sa=i&rct=j&q=&esrc=s&source=images&cd=&cad=rja&uact=8&ved=0ahUKEwjN7ceB1oLNAhWMQBQKHfhEB24QjRwIBw&url=http://www.plantdat.nl/pinpointer/marktplaats/&bvm=bv.123325700,d.ZGg&psig=AFQjCNEjvIDUMLpeo3A_Nzv-6H10pfF7GQ&ust=1464727690558091
http://www.google.nl/url?sa=i&rct=j&q=&esrc=s&source=images&cd=&cad=rja&uact=8&ved=0ahUKEwjN7ceB1oLNAhWMQBQKHfhEB24QjRwIBw&url=http://www.plantdat.nl/pinpointer/marktplaats/&bvm=bv.123325700,d.ZGg&psig=AFQjCNEjvIDUMLpeo3A_Nzv-6H10pfF7GQ&ust=1464727690558091

CLASSIFICATIETITEL VAN DE PRESENTATIE20

https://www.google.nl/url?sa=i&rct=j&q=&esrc=s&source=images&cd=&cad=rja&uact=8&ved=0ahUKEwjh_L281oLNAhXEXBQKHTzoA1IQjRwIBw&url=https://www.youtube.com/watch?v%3D9nLWbeWWw3E&bvm=bv.123325700,d.ZGg&psig=AFQjCNFkJLpTndaaFLjjMnhxVuQnL3OUrg&ust=1464727811872311
https://www.google.nl/url?sa=i&rct=j&q=&esrc=s&source=images&cd=&cad=rja&uact=8&ved=0ahUKEwjh_L281oLNAhXEXBQKHTzoA1IQjRwIBw&url=https://www.youtube.com/watch?v%3D9nLWbeWWw3E&bvm=bv.123325700,d.ZGg&psig=AFQjCNFkJLpTndaaFLjjMnhxVuQnL3OUrg&ust=1464727811872311

CLASSIFICATIETITEL VAN DE PRESENTATIE21

http://www.google.nl/url?sa=i&rct=j&q=&esrc=s&source=images&cd=&cad=rja&uact=8&ved=0ahUKEwjpo8X-1oLNAhUFPBQKHR8hAYwQjRwIBw&url=http://www.techspot.com/news/55849-tor-is-set-to-launch-public-beta-for-new-anonymous-instant-messaging-service-next-month.html&bvm=bv.123325700,d.ZGg&psig=AFQjCNEJy63Fz6mCy2J2NPKqh5qwWOBJUQ&ust=1464727942147280
http://www.google.nl/url?sa=i&rct=j&q=&esrc=s&source=images&cd=&cad=rja&uact=8&ved=0ahUKEwjpo8X-1oLNAhUFPBQKHR8hAYwQjRwIBw&url=http://www.techspot.com/news/55849-tor-is-set-to-launch-public-beta-for-new-anonymous-instant-messaging-service-next-month.html&bvm=bv.123325700,d.ZGg&psig=AFQjCNEJy63Fz6mCy2J2NPKqh5qwWOBJUQ&ust=1464727942147280

Cybercrime te koop…

CLASSIFICATIETITEL VAN DE PRESENTATIE22

Cybercrime als een RaaS en een CaaS model

CLASSIFICATIETITEL VAN DE PRESENTATIE23

Cybercrime as a service

Rent-a-hacker

Aanbod van diverse services

DDOS

Malware

Ransomware

Trojans, worms etc.

Afpersing/social media extortion

http://hireanhacker.com/

Ransomware as a service

“Philadelphia” – 389 dollar

Onbeperkte licentie

Promotie via YouTube

Ransomware-personalisatie

Stampado – 39 dollar

Simpele variant

Diverse betaalmodellen

Frozr Locker – 220 dollar

250 file extensions

Online support desk

http://hireanhacker.com/

Cybersecurity en building automation systems

Mogelijke aanvallen op building automation systems:

Energy-demand shock

Het uitschakelen van de verwarming of koeling

Wijziging van beschermingsinstellingen en limieten (bij bv ketelhuizen)

Pompen en andere aandrijvingen in storingsmodus zetten

Data diefstal

Het uitzetten van alarmen of genereren van valse alarmen

Het inzetten van apparaten in een zombie netwerk

Veel Building Automation Systems zijn niet ontwikkeld met security-in-mind

CLASSIFICATIETITEL VAN DE PRESENTATIE24

Cybersecurity beeld Nederland

Recent uitgekomen beeld 2018:

Sabotage en verstoring door staten grootste dreiging nationale

veiligheid.

Aanvallers blijven succesvol door ontbreken basismaatregelen.

Blijvend functioneren samenleving en economie afhankelijk van

cybersecurity.

Digitale dreiging is permanent

Risico via toeleveranciers is aanwezig

CLASSIFICATIETITEL VAN DE PRESENTATIE25

Realiteit? Het gebeurt nú!

2012 : Target Hack

2013 : Google Wharf Australie gehackt

2016 : Lappeenranta DDOS attack

2016 – 2017: 4x hack op Seehotel Oostenrijk

2017 : >70% van alle CCTV in Washington DC gehackt

2018 : Camera’s sportschool Brabant gehackt

2018 : AIVD hackt ‘CozyBear’ hackers door CCTV

CLASSIFICATIETITEL VAN DE PRESENTATIE26

Lappeenranta hack

Lappeenranta heeft 60.000 inwoners, ligt in Oost-Finland

Valtia is een service provider bedrijf, verantwoordelijk voor de centrale

verwarming en het warm-water-systeem in deze regio.

De systemen van Valtia werden bestookt met een DDOS aanval.

Twee appartementencomplexen zonder verwarming en warm water, in de

winter.

Bij opnieuw opstarten kwam het systeem vast in een loophole, waardoor

het hitte afgifte systeem niet meer werkte.

Systemen herstart, DDOS gerouteerd… probleem opgelost.

CLASSIFICATIETITEL VAN DE PRESENTATIE27

Wat is het cybersecurity landschap?

Kwaadwillende

Cybersecurity bedrijven

Overheid

Universiteiten en onderzoeksinstellingen

Afnemers

In deze: BMS/BAS vendoren

Nauwelijks onderzoek naar building automation security… investeringen

vanuit Min.EZ en RVO naar Building Automation Security (BrAIN). Enige focus

vanuit overheid, universiteiten en onderzoeksinstellingen naar SCADA.

CLASSIFICATIETITEL VAN DE PRESENTATIE28

Cybersecurity organisaties…

CLASSIFICATIETITEL VAN DE PRESENTATIE29

Installateurs…

CLASSIFICATIETITEL VAN DE PRESENTATIE30

Enorme diversiteit in bedrijven, grootte en aantal werknemers…

“Building automation systems en cybersecurity, moeten we ons zorgen maken?”

Half, we hebben een gezamenlijke uitdaging.

En er is nog een wereld te winnen voor wat betreft awareness.

Waar te beginnen?

Zorg voor digitaal bewustzijn;

Ontwikkel een architectuur met security-in-mind, zowel met de IT

componenten als met de BAS en identificeer risico’s;

Definieer een baseline, detecteer afwijkingen en blijf elke opzet testen.

Toekomst? Security als basis.

Een keurmerk voor installateurs, met trainingen, certificeringen en audits. 31

http://www.google.nl/url?sa=i&rct=j&q=&esrc=s&source=images&cd=&cad=rja&uact=8&ved=0ahUKEwje34OMzunLAhVG-Q4KHYCNDiQQjRwIBw&url=http://businessinsights.bitdefender.com/an-overview-of-virtualization-security-guidance-part-1&v6u=https://s-v6exp1-v4.metric.gstatic.com/gen_204?ip%3D62.12.14.26%26ts%3D1459382118558826%26auth%3D6gmnwx4yyasnxeridhz7abpj7wyt3fhc%26rndm%3D0.8835594728405248&v6s=2&v6t=16583&bvm=bv.118353311,d.ZWU&psig=AFQjCNERoZNW6-vxNKu2FxmtBXt6n74A0g&ust=1459468526798610
http://www.google.nl/url?sa=i&rct=j&q=&esrc=s&source=images&cd=&cad=rja&uact=8&ved=0ahUKEwje34OMzunLAhVG-Q4KHYCNDiQQjRwIBw&url=http://businessinsights.bitdefender.com/an-overview-of-virtualization-security-guidance-part-1&v6u=https://s-v6exp1-v4.metric.gstatic.com/gen_204?ip%3D62.12.14.26%26ts%3D1459382118558826%26auth%3D6gmnwx4yyasnxeridhz7abpj7wyt3fhc%26rndm%3D0.8835594728405248&v6s=2&v6t=16583&bvm=bv.118353311,d.ZWU&psig=AFQjCNERoZNW6-vxNKu2FxmtBXt6n74A0g&ust=1459468526798610

Vragen of informatie?

Suzanne Rijnbergen : suzanne.rijnbergen@kpn.com

CLASSIFICATIETITEL VAN DE PRESENTATIE32

mailto:suzanne.rijnbergen@kpn.com
http://www.google.nl/url?sa=i&rct=j&q=&esrc=s&source=images&cd=&cad=rja&uact=8&ved=0ahUKEwjcjsDvgZHPAhWFfhoKHb6TCA4QjRwIBw&url=http://www.zryxsw.com/thank-you-wallpaper.html&bvm=bv.132479545,d.d2s&psig=AFQjCNGT3OoGz0BWq00Qe20D8KGHrLKgYQ&ust=1474016547972871
http://www.google.nl/url?sa=i&rct=j&q=&esrc=s&source=images&cd=&cad=rja&uact=8&ved=0ahUKEwjcjsDvgZHPAhWFfhoKHb6TCA4QjRwIBw&url=http://www.zryxsw.com/thank-you-wallpaper.html&bvm=bv.132479545,d.d2s&psig=AFQjCNGT3OoGz0BWq00Qe20D8KGHrLKgYQ&ust=1474016547972871

Top related

Vmb Security & Solutions
 Business
Academy Cursusaanbod Security & Privacy
 Documents
Avira Internet Security
 Documents
Security dossier okt2013 totaal
 Documents
ProductSheet Cisco Security - Logicalis · Inforsacom Logicalis bietet seinen Kunden im Security Bereich folgende Vorteile: Unser Security Operation Center (SOC) auf Jersey betreut
 Documents
Informatica Cyber Security 1 Informatica: Cyber Security Chipkaarten (Smartcards) Erik Poll Digital Security groep.
 Documents
Security awareness & the brain?
 Education
Architectuur en Security
 Documents
Bio-Composieten - Hogeschool Inholland...Meegedacht en correctie gelezen door Dr. Rogier Nijssen, lector Zcompsieten [bij de hogeschool Inholland en Alwin Hogendoorn, portfoliomanager
 Documents
WatchGuard Firewall & Network Security
 Technology
Maatregelen privacy en security
 Documents
The Dutch Facility Management Market 2014 - figures, trends & developments
 Presentations & Public Speaking
Security united
 Documents
Security seminar: HNW: Vertrouwen en IT Security
 Documents
Security for Business Analysts - IIBA Dutch...Resultaatgericht IT Security Manager –Tim was verantwoordelijk voor de IT Security, IT Risk en IT Compliance bij een beursgenoteerde
 Documents
ENISA-EU Nieuwsbrief - Nationaal Cyber Security Centrum · ENISA-EU Nieuwsbrief ... [ 8] en EU Member States Incident Response Developments [ 9]. €10 miljoen EU-financiering beschikbaar
 Documents
Security Architectuur
 Documents
Onderzoeksrapport Auditdienst Rijk Opvolging aanbevelingen ... · 1.5 Portfoliomanager rol aan de business kant belegd—14 ... 1.24 Tester aangesteld voor doorontwikkelen van geautomatiseerd
 Documents
Stateful web, developments, trends 1 Webtechnologie Lennart Herlaar.
 Documents
TOTAL SECURITY 2018 - colombia.micronet.es
 Documents

Copyright © 2022 FDOCUMENTS